Mise à jour de sécurité pour Windows XP : le retour du Patch Tuesday

Cybersécurité

Le phénomène Wannacry a incité Microsoft a sortir un Patch Tuesday pour Windows XP, afin de fournir à ces plateformes un support vis à vis de cette menace. Mais n’oubliez pas que la meilleure solution est de passer sur les versions récentes de Windows !

mise à jour de sécurité

Le mardi 8 avril 2014, vous souvenez-vous de ce que vous faisiez ce jour-là ?

Si vous êtes un sysadmin, vous vous rappelez très certainement : c’était le jour où Windows XP a reçu sa dernière mise à jour de sécurité, et a vu sa prise en charge s’arrêter, à moins d’avoir un contrat spécial.

Même à l’époque, nous avions déjà eu sept ans d’avertissement et beaucoup de temps pour décider comment affronter cette situation, donc vous auriez pu penser que ce serait…

…peut-être pas la dernière mise à jour de sécurité de XP après tout !

Tant d’utilisateurs et d’entreprises étaient encore tellement impliqués au quotidien avec XP que Microsoft a cédé quelques semaines plus tard, en publiant au début du mois suivant une autre mise à jour intitulée “goodbye, farewell and Amen” pour XP.

Cette mise-à-jour-après-la-dernière-mise-à-jour, de mai 2014, a traité une faille zero-day (CVE-2014-1776) dans Internet Explorer qui non seulement affecte toutes les versions de IE 6 à IE 11, mais a également refait surface dans la nature, utilisée par des cybercriminels dans ce que Microsoft a mentionné à l’époque comme étant des “attaques ciblées limitées”.

Microsoft a donc fait une faveur au monde entier, et c’est bien ce que c’était, peu importe la façon dont vous le regardez, en rétrofitant le patch pour XP et en rendant cette mise à jour de sécurité de disponible pour tous.

Et c’est dans cet état que l’univers des patchs de sécurité XP est resté jusqu’au mois dernier, lorsque le virus WannaCry a frappé.

WannaCry est une cyberattaque par un ransomware, qui se fraie automatiquement un chemin tel un worm au sein d’internet en exploitant une vulnérabilité dans le partage de fichiers sous Windows.

Même si la faille derrière WannaCry a été corrigée en mars 2017, les détails sur la façon de l’exploiter ont été révélés peu de temps après par un équipe de hackers appelée Shadow Brokers, et les malwares WannaCry, se propageant par eux-mêmes, ont suivi peu de temps après.

Quiconque n’ayant pas installé le patch en question était théoriquement à risque, y compris les utilisateurs de XP, qui n’auraient pas pu être installer et ce même s’ils l’avaient voulu, car XP ne disposait d’aucune mise à jour de sécurité depuis CVE-2014-1776, trois ans plus tôt.

En conséquence, Microsoft a décidé de fournir un patch contre la faille WannaCry, même pour les plateformes plus prises en charge depuis bien longtemps, telles que Windows XP et Server 2003.

Eh bien, en voici un autre, ou plutôt une autre série de correctifs pour XP et d’autres produits Microsoft remplacés depuis, traitant encore plus de failles de sécurité qui ont été rendues public par Shadow Brokers avec l’exploit utilisé par les créateurs de WannaCry.

Comme le dit Microsoft :

Nous avons pris des mesures pour fournir des mises à jour de sécurité critiques supplémentaires pour traiter des vulnérabilités qui sont susceptibles d’être exploiter en raison de l’activité et des informations divulguées récemment au niveau de certains état-nations. Certaines des versions sorties aujourd’hui sont nouvelles, et certaines sont  destinées aux  anciennes plateformes dans le cadre d’accords de prise en charge personnalisée, que nous mettons à disposition aujourd’hui […] Pour les clients qui gèrent les mises à jour, ou ceux sur les anciennes plateformes, nous les encourageons à installer ces mises à jour de sécurité dès que possible.

Les versions Windows non prises en charge qui viennent d’être corrigées sont les suivantes : Windows XP, Windows Vista, Windows 8, Windows Server 2003 et Windows Server 2003 R2.

Nous sommes toujours convaincus que vous auriez dû quitter XP et Server 2003 depuis bien longtemps, étant donné que les versions plus récentes de Windows contiennent un large éventail de problèmes de sécurité traités qui ne peuvent tout simplement pas être adaptés aux anciennes versions.

Mais si vous ne parvenez toujours pas à remplacer vos versions hors support, n’oubliez pas que ce mois-ci vous rappelle à un bon vieux souvenir : les mises à jour de sécurité Patch Tuesday, à l’ancienne !

Il y a longtemps que le Patch Tuesday pour XP et 2003 existe, alors dépoussiérez vos notes, rappelez-vous comment faire, et n’attendez pas pour l’installer !


Billet inspiré de Blast from the past – Patch Tuesday updates for Windows XP, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.